33659

Протокол SSL

Доклад

Информатика, кибернетика и программирование

Протокол SSL Протокол SSL Secure Socket Lyer предназначен для защиты данных передаваемых между приложениями клиентом и сервером. SSL работает поверх транспортного протокола предполагающего установление соединения TCP. SSL прозрачен для служб прикладного уровня таких как HTTP и FTP. Протокол SSL базируется на следующих принципах: Защищённый канал передачи данных.

Русский

2013-09-06

46.5 KB

19 чел.

24. Протокол SSL

Протокол SSL (Secure Socket Layer) предназначен для защиты данных, передаваемых между приложениями (клиентом и сервером). SSL работает поверх транспортного протокола, предполагающего установление соединения (TCP). SSL "прозрачен" для служб прикладного уровня, таких, как HTTP и FTP.

Протокол SSL базируется на следующих принципах:

  •  Защищённый канал передачи данных. Для шифрования данных применяются симметричные алгоритмы (DES,RC4).
  •  Обязательная аутентификация сервера с использованием асимметричной криптографии (Diffie-Hellman, RSA и FORTEZZA).
  •  Надежность канала передачи данных. Для контроля целостности передаваемых данных используется специальный алгоритм - Message Authentication Code (MAC). Довольно распространенным является алгоритм MD5. Обычно, и сам MAC-code так же шифруется.

Протокол SSL состоит из двух протоколов (рис. 3.6):

  •  SSL Record Protocol, используемый для инкапсуляции передаваемых и получаемых данных.
  •  SSL Handshake Protocol, используемый для установления параметров соединения.

Архитектура SSL

.

Рис. 3.6

Протокол SSL Record Layer используется для всех SSL коммуникаций.

Параметры соединения по протоколу SSL определяются протоколом SSL Handshake, который работает поверх протокола SSL Record Layer. Когда клиент и сервер устанавливают соединение, они согласовывают такие параметры, как версия протокола и алгоритм шифрования, аутентифицируют друг друга и генерируют ключ сеанса.

Так как обычно SSL используется для организации безопасного доступа по протоколу HTTP, то его поддержка реализована в различных WEB-серверах,

ПРОТОКОЛ SSL. НАЗНАЧЕНИЕ. АРХИТЕКТУРА. SSL RP.

Протокол SSL (secure socket layer) был разработан фирмой Netscape, как протокол обеспечивающий защиту данных между сервисными протоколами (такими как HTTP, NNTP, FTP и т.д.) и транспортными протоколами (TCP/IP).

Можно легко просматривать данные, которыми обмениваются между собой клиенты и серверы. Был даже придуман специальный термин для этого - "sniffer". А в связи с увеличением объема использования Интернета в коммерческих целях, неизбежно вставал вопрос о защите передаваемых данных (перехват номеров кредитных карт и др.).

С одной стороны остаются все возможности сервисных протоколов (для программ-серверов), плюс к этому все данные передаются в зашифрованном виде. Следует отметить, что SSL не только обеспечивает защиту данных в Интернете, но так же производит "опознание" сервера и клиента "server/client authentication". В данный момент протокол SSL принят W3 Consortium на рассмотрение, как основной защитный протокол для клиентов и серверов в сети Интернет. Наиболее распространенным пакетом программ для поддержки SSL  является SSLeay. Последняя версия (SSLeay v. 0.8.0) поддерживает SSLv3. Эта версия доступна в исходных текстах.

В основе SSL архитектуры – 2 протокола:

SSL RPRecord Protocol - исп для инкапсуляции передаваемых данных) и SSL HP - Handshake Protocol - установка пар-ров соединения

SSL RP

x=1 –  общая длина заголовка 2 байта, усли x=1, то 3

Если запись 3 б., и y=1, то запись несет данные, если 0 – спец данные

На приемной стороне дешифруют и отделяют PADDING

Данные состоят из трех компонентов:

1) MAC data (message autentification code) – хеш функ. для шифрования.

2) Actual data – передаваемые данные

3) PADDING скрывает длину пакета и дополняет его для шифр.

Вычисл. На основе секретного ключа, перемнож. На ACT и PAD. Его разер зависит от исп. алгоритма. Для MD2-MD5 – 128 бит

MAC-DATA = HASH[ SECRET, ACTUAL-DATA, PADDING-DATA, SEQUENCE-NUMBER ]

На др стороне вычисляют заново MAC. Если совпадает – пакет подлинный.

SSL RP исп для вех SSL коммуникаций.

Для 2-х байтного заголовка  макс длина 32767 байт, для 3-х - 16383 б

24. SSL HP. SSL IIS. СОЗДАНИЕ СЕАНСА SSL.

Ведет переговоры по установлению соединения. Он раб поверх RP.

Протокол диалога SSL имеет две основные фазы. Первая фаза используется для установления конфиденциального канала коммуникаций. Вторая - служит для аутентификации клиента.

Фаза 1 

Первая фаза является фазой инициализации соединения, когда оба партнера посылают сообщения "hello". Клиент инициирует диалог посылкой сообщения CLIENT-HELLO. Сервер откликается сообщением SERVER-HELLO.

К этому моменту, как клиент, так и сервер имеют достаточно информации, чтобы знать, нужен ли новый ключ.

Когда нужен новый ключ, сообщение SERVER-HELLO будет содержать достаточно данных, чтобы клиент мог сформировать такой ключ. Сюда входит подписанный сертификат сервера, список базовых шифров, и идентификатор соединения (случайное число, сформированное сервером и используемое на протяжении сессии). Клиент генерирует ключ и посылает сообщение CLIENT-MASTER-KEY (или сообщение ERROR, если информация сервера указывает, что клиент и сервер не могут согласовать базовый шифр). Сообщение шифруется открытым ключом сервера.

Наконец, после того как мастерный ключ определен, сервер посылает клиенту сообщение SERVER-VERIFY. Этот заключительный шаг аутентифицирует сервер, так как только сервер, который имеет соответствующий общедоступный ключ, может знать закрытый ключ ключ.

Фаза 2 

Вторая фаза - аутентификация. Сервер уже аутентифицирован клиентом на первой фазе, поэтому аутентифицируем клиента. Серверу необходимо получить что-то от клиента, и он посылает запрос. Клиент пришлет позитивный отклик, если располагает необходимой информацией, или пришлет сообщение об ошибке, если нет. Когда один партнер выполнил аутентификацию другого партнера, он посылает сообщение finished. В случае клиента сообщение CLIENT-FINISHED содержит зашифрованную форму идентификатора CONNECTION-ID, которую должен верифицировать сервер. Если верификация терпит неудачу, сервер посылает сообщение ERROR.

Раз партнер послал сообщение finished он должен продолжить воспринимать сообщения до тех пор, пока не получит сообщение finished от партнера. Как только оба партнера послали и получили сообщения finished, протокол диалога SSL закончил свою работу. С этого момента начинает работать прикладной протокол.

SSL часто используется для безопасного доступа по проколу HTTP.

Поэтому поддержка SSL имеется во многих web –северах, например в IIS. Так на основе SSL в  IIS можно проводить аутентификацию и клиента и сервера, также поддерживается возможность шифрования трафика для посылки конфиденциальных данных (например, номеров кредитных карт или номеров телефонов). Но нужно отметить, что для реализации этих возможностей налагаются особые требования на клиентскую станцию: она должна уметь проверять сертификаты серверов, отсылать сой сертификат и осуществлять шифрование/дешифрование.


x

PADDING (для кратности шифра)

0r

1r

2r

7r


 

А также другие работы, которые могут Вас заинтересовать

42372. Нанесення плівок металів і сплавів у вакуумі методом термічного випаровування у вакуумі 320 KB
  Нанесення тонких плівок у вакуумі полягає в створенні потоку частинок, який направлений у бік оброблюваної підкладинки, які конденсуються з утворенням тонкоплівкових шарів на підкладинці.
42373. ПОЛУЧЕНИЕ ПЛЕНОК КАТОДНЫМ РАСПЫЛЕНИЕМ 107.5 KB
  Изучение катодного распыления привело к широкому использованию этого явления для создания весьма чистых поверхностей всевозможных тонких пленок металлов и сплавов полупроводников и диэлектриков для травления указанных выше материалов многие из которых не поддаются травлению другими способами. Поэтому в круксовом темном пространстве создается положительный пространственный заряд что приводит к перераспределению потенциала вдоль трубки и к возникновению катодного падения потенциала. С точки зрения физики разряда наиболее важной является...
42374. Измерение толщины металлических пленок с помощью интерферометра МИИ-4 175 KB
  В результате интерференции двух систем волн в фокальной плоскости окуляра наблюдаются характерные интерференционные полосы. в результате интерференции волн получаются светлые полосы а в точках где разность хода равна λ 2 3λ 2 5λ 2 и т. темные полосы. В отъюстированном микроинтерферометре при работе в монохроматическом свете в поле зрения должны быть видны чередующиеся черные и светлые полосы.
42375. Адміністрування безпеки операційної системи WINDOWS 2k 479 KB
  С помощью утилиты NET. Выполнить исследование локальной сети с помощью утилиты NBTSTT программы PWLTOOLS. С помощью утилит User2sid и Sid2user определить перечень логинов пользователей на том же удаленном компьютере что и в пункте 4.] Выполнить тестирование компьютера указанного в пункте 4 с помощью программы DDoSPing.
42376. Програмні засоби для шифрування та приховування інформації 1.79 MB
  С помощью программы PGP выполните обмен зашифрованной информацией. Для этого необходимо: а с помощью утилиты PGPkeys создать ключевую пару подчиняясь следующему порядку: выполнить запуск Strt Пуск Progrms Программы PGP PGPkeys необходимо указать собственное имя Full nme и адрес электронной почты Emil ddress не забывая что именно эти данные будут ассоциированы программой с вашими ключами выбор типа ключа Key Pir Type: ключ RS действительно архаичнее и медленнее своего ретивого молодого собрата DiffieHellmn DSS однако...
42377. Використання M.EXCEL в розвязанні матричних ігор 437.5 KB
  Планується до випуску Кі варіанти конструкції нового товару. Виготовлення їх можливо за допомогою одного з альтернативних технологічних процесів Тj . Експерти оцінили споживчі властивості конструкції Кі , виготовленої за допомогою технологічного процесу Тj за десятибальною шкалою в аij балів. Конструкція, яка має більший бал якості, має також і більшу собівартість. Ресурси обмежені, тому менеджерам необхідно прийняти компромісне рішення. Обґрунтувати прийняте рішення.
42378. Работа с пакетом Microsoft Office (Word, Excel, Access, PowerPoint) 699.5 KB
  Для таких целей следует использовать команду меню Формат Абзац и в диалоговом окне установить необходимые отступы и интервалы. Установка первых строк производится с помощью команды меню Формат Абзац или масштабной линейки. Изучите пункты меню панели инструментов и элементы окна. Рисунок 1 Рабочее окно программы Word Установите поля: левое 25 см правое 15 см верхнее и нижнее 2 см через меню Файл команду Параметры страницы.
42379. Текстовый процессор Word «Приемы и средства автоматизации разработки текстовых документов» 63 KB
  Формула задается как выражение в котором использованы: абсолютные ссылки на ячейки таблицы в виде списка 1; B5; E10 или блока 1:F10; ключевые слова для ссылки на блок ячеек: LEFT ссылка на ячейки расположенные в строке левее ячейки с формулой; RIGHT ссылка на ячейки расположенные в строке правее ячейки с формулой; BOVE ссылка на ячейки расположенные в столбце выше ячейки с формулой; BELOW ссылка на ячейки расположенные в столбце ниже ячейки с формулой; константычисла текст в двойных кавычках; закладки...
42380. Операционная система Windows XP: настройка операционной системы Windows, оформление Рабочего стола, настройка Проводника 148.5 KB
  Работа с архиватором WinZip: создание самораспаковывающегося и защищенного архива извлечение файлов из ZIPархива. Что такое многотомный архив Как добавить файл в архив Какие вы знаете архиваторы Их особенности для различных видов информации. ПРИЛОЖЕНИЕ В Работа с архиватором WinZip Запустите WinZip 8. Дайте команду File New rchive Файл Создать архив.